ソフトウェア部品表 (SBOM)

要約:

ソフトウェア部品表（SBOM）は、ソフトウェア内のすべてのコンポーネントの詳細な構造化されたリストです。これは、アプリケーションの部品リストと考えることができます。依存関係を追跡し、潜在的な脆弱性を特定し、コンプライアンス要件を満たすのに役立ちます。ソフトウェアに何が含まれているかを知らなければ、それを保護することはできません。

• 保護対象: ソフトウェアサプライチェーン、依存関係、オープンソースコンポーネント
• 種類: Application Security Posture Management (ASPM)
• SDLCへの適合: ビルド、テスト、デプロイフェーズ
• 別名: 依存関係インベントリ、ソフトウェアコンポーネントリスト
• サポート: サードパーティライブラリまたはオープンソースライブラリを含むあらゆるソフトウェア

SBOMとは何ですか？

SBOMは、ソフトウェアを構成するすべてのコンポーネント（ライブラリ、フレームワーク、依存関係、さらには推移的依存関係（依存関係のネストされたインベントリ））をリストする機械可読文書です。ソフトウェアに何が含まれているか、どこから来たか、そして既知の潜在的な脆弱性があるかどうかを示します。

SBOMは、特に政府や企業がソフトウェアサプライチェーンにおける透明性の向上を推進しているため、セキュリティとコンプライアンスにおいて必須となりつつあります。クラウドネイティブアプリケーションの場合、SBOMは、複数のマイクロサービスから構築された動的なワークロードであっても、セキュリティとコンプライアンスを維持することを保証します。

SBOMのメリットとデメリット

長所：

• 完全な透明性: ソフトウェアに含まれるものを正確に把握し、セキュリティの死角を減らします。
• 脆弱性対応の迅速化: 新しいCVEが公開された際、ソフトウェアが影響を受けるかどうかを即座に確認できます。
• コンプライアンスと規制への対応: 多くの組織（例：米国大統領令14028）は、ソフトウェア調達にSBOMを要求しています。
• サプライチェーンセキュリティ: 依存関係の混乱や悪意のあるパッケージなどのリスクを防ぐのに役立ちます。

短所：

• SBOM ≠ セキュリティ: アプリに含まれるものを知っているだけでは、自動的に安全になるわけではありません。
• 常に最新の状態に保つ：SBOMが常に更新されない場合、すぐに古くなり、役に立たなくなります。
• 誤った制御感: 依存関係をリストアップすることと、それらの脆弱性をリアルタイムで追跡することとは別の問題です。

SBOMは具体的に何をするのですか？

SBOMは以下を提供します。

• 完全なインベントリ: ソフトウェア内のすべてのライブラリ、パッケージ、コンポーネント。推移的な依存関係のためのネストされたインベントリも含まれます。
• オリジン情報: 各依存関係の出所（GitHub、PyPI、NPMなど）。
• バージョン追跡: 使用している依存関係のパッケージバージョンを把握します。
• 脆弱性マッピング：CVE／NVDのようなデータベースとコンポーネントを相互参照し、潜在的な脆弱性を特定します。
• ライセンスコンプライアンス: 制限的なライセンスを持つサードパーティライブラリを使用していないことを確認します。

SBOMは何から保護してくれますか？

SBOMを持つことで、以下の軽減に役立ちます：

• サプライチェーン攻撃: 攻撃者はオープンソースライブラリを標的にします。SBOMはそれらを追跡し、検証するのに役立ちます。
• パッチが適用されていない脆弱性: 古い、または脆弱な依存関係を使用しているかどうかを即座に特定します。
• コンプライアンスの課題: 多くのセキュリティフレームワークでは、監査およびリスク評価のためにSBOMが要求されるようになりました。
• ソフトウェアの肥大化とレガシーコードのリスク: 未使用またはリスクのあるサードパーティライブラリの特定に役立ちます。

SBOMはどのように機能しますか？

SBOMツールは、以下の内容を含む構造化されたドキュメント（SPDX、CycloneDX、SWIDなどの形式で提供されることが多い）を生成します。

• コンポーネントリスト: ソフトウェアに含まれるすべてのライブラリ、パッケージ、依存関係。
• バージョン情報: 各コンポーネントのどのパッケージバージョンが使用されているか。
• ソースとメタデータ: コンポーネントがどこから取得されたか。
• ライセンス詳細: オープンソースライブラリおよびプロプライエタリソフトウェアのコンプライアンスを確保します。
• 脆弱性マッピング：リストされたコンポーネントの既知の問題を特定します。

なぜ、いつSBOMが必要ですか？

SBOMが必要となるのは、以下のケースです:

• オープンソースの依存関係を使用している場合。 (ネタバレ: 誰もがそうです。)
• コンプライアンス基準を満たすことが求められます。 政府機関や企業バイヤーは現在、SBOMを要求しています。
• 新たな脆弱性が公開されました。 ソフトウェアが影響を受けるかどうかを即座に確認します。
• サプライチェーンセキュリティの強化を望んでいます。 発生する前に厄介な依存関係の問題を防ぎます。

SBOMはSDLCパイプラインのどこに位置付けられるのか？

SBOM生成は、ビルド、テスト、デプロイフェーズで行われるべきです。

• ビルドフェーズ: ソフトウェアのコンパイル時にSBOMを自動的に生成します。
• テストフェーズ: リリース前に、脆弱性データベースに対して依存関係を検証します。
• デプロイフェーズ：コンプライアンスとセキュリティ追跡のために、最新のSBOMを維持します。

適切なSBOMツールを選ぶにはどうすればよいですか？

優れたSBOMツールは以下の条件を満たすべきです：

• CI/CDパイプラインとの連携: ビルド時にSBOMを自動生成します。
• 複数フォーマットのサポート: SPDX、CycloneDX、SWIDとの互換性。
• リアルタイムでの脆弱性追跡: 既存の依存関係における新たなリスクについて通知します。
• コンプライアンスレポートの有効化: 規制および業界標準への準拠を支援します。

最適なSBOMツール 2025年版

ソフトウェアサプライチェーンリスクが増大する中、SBOM（Software Bill of Materials）ツールは、アプリケーションを構成する要素の可視性を確保するために不可欠です。Aikido SecurityやCycloneDXまたはSPDX形式に対応するツールは、サードパーティコンポーネントとライセンスの使用状況を簡単に追跡できます。

主要なSBOMツールの主な機能：

• ビルドまたはリポジトリからの自動生成
• CI/CDパイプラインとの統合
• 各コンポーネントのCVE追跡
• コンプライアンス対応の出力フォーマット（例：SPDX、CycloneDX）

Aikidoは、統合セキュリティプラットフォームの一部としてSBOM生成を含んでおり、チームが余分なオーバーヘッドなしにコンプライアンスを維持するのに役立ちます。

SBOMに関するよくある質問

1. SBOMはSCAとどう異なりますか？

SCA (ソフトウェアコンポジション分析) は、依存関係におけるセキュリティリスクとライセンス問題を分析します。SBOMは、ソフトウェア内のすべてを単にリストアップします。SBOMを、材料の構造化されたリストと考えると、SCAは、不良なコンポーネントをチェックする食品検査官のようなものです。

2. SCAをすでに使用している場合でもSBOMは必要ですか？

はい、SCAは潜在的な脆弱性の発見に役立ちますが、SBOMは透明性を提供します。存在を知らないものを保護することはできません。さらに、一部の規制ではコンプライアンスのためにSBOMが義務付けられています。

3. SBOMはどのくらいの頻度で更新すべきですか？

すべてのビルドで。依存関係は変化し、潜在的な脆弱性は日々発見され、古いSBOMは昨年の天気予報と同じくらい役に立ちません。自動化しましょう。

4. SBOMはサプライチェーン攻撃を防ぐことができますか？

直接的ではありませんが、攻撃の軽減をはるかに迅速にします。Log4jのような侵害されたパッケージが発見された場合、手動でネストされたインベントリをかき回す代わりに、ソフトウェアが影響を受けているかどうかを即座に把握できます。

5. 最も重要なSBOMのトレンドは何ですか？

• 規制による採用: 政府機関（特に米国とEU）は、ソフトウェア調達におけるSBOMの義務化を推進しています。
• CI/CDにおける自動SBOM: より多くのチームがSBOM生成をCI/CDパイプラインに統合しています。
• リアルタイム脆弱性追跡: 最新のSBOMツールは、依存関係をリストするだけでなく、潜在的な脆弱性も追跡します。

業界での利用拡大: SBOMはソフトウェアだけのものではありません。クラウドネイティブアプリケーション、自動車、医療機器などの業界でも採用が進んでいます。